QUELQUES MATHÉMATIQUES DE LA CRYPTOLOGIE À 

CLÉS PUBLIQUES 



par 



Jean-Marc Couveignes 



Résumé. — Cette note présente quelques développements mathématiques plus 
ou moins récents de la cryptologie à clés publiques. 

Abstract (A few mathematical tools for public key cryptology) 

I présent examples of mathematical objects that are of interest for public key 
cryptography. 



La cryptologie à clés publiques a mobilisé depuis son invention des mathématiques 
plus ou moins élémentaires : arithmétique des congruences, théorie algébrique des 
nombres, géométrie et cohomologie des groupes algébriques, théorie des graphes, 
probabilités discrètes, complexité algorithmique, etc. Il n'est pas toujours facile de 
discerner une ligne directrice dans ces développements et c'est une des difficultés 
du domaine. Je me bornerai donc à présenter quelques idées et situations typiques, 
sans aucune prétention à l'exhaustivité. 

La section [T] décrit deux protocoles classiques de la cryptographie à clés publiques 
dans le cadre général de l'action d'un groupe sur un ensemble fini. Le logarithme 
discret offre une exemple de cette situation. Les groupes utilisés sont le plus souvent 
des groupes de points rationnels d'un groupe algébrique commutatif sur un corps 
fini. Je montre dans la section [2] quel genre de propriétés on attend (ou on redoute) 
d'un groupe algébrique dans ce contexte. La section[3]met enjeu non plus un groupe 
algébrique mais une catégorie de groupes, leurs morphismes, et les graphes qui s'en 
déduisent. 
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1. Espaces homogènes difficiles 

Dans cette section nous décrivons une famille de problèmes calculatoires que 
nous appelons espaces homogènes difficiles (EHD). Nous montrons que cette notion 
offre un cadre naturel à nombre de protocoles fondamentaux de la cryptologie à clé 
publique, pour le chiffrement, l'identification, et l'échange de clé par exemple. 

Le problème du logarithme discret (dans un groupe multiplicatif ou une courbe 
elliptique sur un corps fini) fournit un exemple d'EHD. Mais il existe bien d'autres 
EHD. Ceux que nous présentons dans la section [3] proviennent de la multiplication 
complexe des courbes elliptiques. 

Dans le paragraphe ll.f I nous définissons les espaces homogènes difficiles. Nous 
expliquons au paragraphe If .21 pourquoi le logarithme discret est un cas particulier 
d'espace homogène. Nous présentons dans le paragraphe I f .31 un protocole d'échange 
de clés de type Diffie-Hellman-Merkle dans le contexte des EHD. Nous décrivons de 
même dans le paragraphe ! f . 41 le protocole de Schnorr pour la preuve de connaissance 
sans apport d'information, dans le cadre général et naturel des EHD. 

1.1. Définition d'un espace homogène difficile. — Soit G un groupe fini 
commutatif. Un espace homogène H pour G est un ensemble fini non vide H muni 
d'une action transitive et libre de G. Donc le cardinal de H est égal à celui de 
G. On note S = = ^G. On appelle points les éléments de H et vecteurs les 
éléments de G. Un exemple naturel : H est un espace affine et G l'espace vectoriel 
sous-jacent. 

Si hi et h2 sont deux points, il existe un unique vecteur g tel que g.hi — /12. On 
> 

note /11/12 ce vecteur. 

Etant donné un espace homogène, on considère une série de problèmes calcula- 
toires. 

On suppose que les éléments de G et de iJ sont représentés par des chaînes de 
caractères de longueur polynomiale en log S. 

On doit être capable de calculer efficacement la loi de composition et l'inversion 
dans le groupe G et de tester l'égalité de deux éléments de ce groupe. Autrement 
dit, on veut que le groupe G soit calculatoire. 

Problème 1 (Opérations dans le groupe G). — Étant donnés deux vecteurs 
9i 6^52) décider s'ils sont égaux, calculer l'inverse g^^ de gi et le produit gig2- 

Il faut aussi pouvoir choisir des éléments aléatoires dans G. 

Problème 2 (Vecteur aléatoire). — Choisir un vecteur g dans G avec une dis- 
tribution (presque) uniforme. 

On souhaite aussi résoudre efficacement les problèmes élémentaires suivants 
concernant l'action de G sur H : 

Problème 3 (Action de G sur H). — Étant donnés deux points hi,h2 E H et 
un vecteur g £ G, décider si hi = h2, et calculer g.hi. 

Notons que si l'on applique un vecteur aléatoire (avec distribution uniforme) g à 
un point fixe /iq, on obtient un point aléatoire (avec distribution uniforme). 

On dit que l'espace homogène est calculatoire si l'on dispose d'un algorithme 
probabiliste polynomial en log S pour résoudre les problèmes [U [2] et [3l Cela sous- 
entend que l'on considère, non pas un espace homogène, mais une famille infinie 
d'espaces homogènes. 
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Venons en maintenant à des propriétés plus subtiles. 

> 

Souvenons nous qu'il existe un unique vecteur qui envoie hi sur /i2 : 

> 

hih2.hi = h2. 
On peut souhaiter calculer ce vecteur. 

Problème 4 (Différence de deux points). — Etant donnés hi,h2 E H trouver 
g E G tel que g.hi — /i2. 

Un problème de même nature est de compléter un parallélogramme. 

Problème 5 (Complétion d'un parallélogramme). — Étant donnés trois 

> > 

points hi,h2,h^ € H, calculer l'unique point tel que /iift.2 = h^h^. 

Ce /14 n'est autre que /iift,2.ft.3. Donc le problème [5] est plus facile que le problème 

SI 

On s'intéresse aux espaces homogènes calculatoires pour lesquels les problèmes S] 
et [5] sont difficiles. Cela signifie qu'il n'existe pas de machine de Turing probabiliste 
qui résolve l'un ou l'autre de ces problèmes en temps polynomial en log S. 

De tels espaces homogènes sont appelés espaces homogènes difficiles (EHD). 

On pourrait considérer un autre problème 

Problème 6 (Vérification d'un parallélogramme). — Étant donnés quatre 
points /il, /i2, /13, /14 dans H, dire si /11/12 = /13/14. 

Si ce dernier problème est difficile on dit que l'espace homogène est très difficile 
(EHTD). 

Supposons que G = k'^ est un espace vectoriel sur un corps fini k et H = A'^{k) 
l'espace affine associé. C'est un espace calculatoire. Les vecteurs et les points sont 
décrits pas leurs coordonnées et l'action de g = {xi, . . . , Xd) sur h — (oi, . . . , Od) se 
calcule au prix de d additions dans k. 

Ce n'est pas un espace homogène difficile car sïh = (ai, ... , ad) et k = (&i, . . . , bd) 
alors hk = {bi — ai, . . . ,bd — ad) se calcule au prix de d soustractions dans k. 

1.2. Le logarithme discret. — Un premier candidat EHD intéressant est fourni 
par le problème du logarithme discret. 

Soit G un groupe cyclique d'ordre n et soit c un générateur de G. 

Notons G le groupe des automorphismes de G. Un élément g de G envoie c sur 
g{c) = c"" où a est un entier premier à n. L'application g a est un isomorphisme 
de G sur (Z/nZ)*. 

Soit H l'ensemble des générateurs de G. Alors = ^G = (t>{n) et G agit 
simplement transitivement sur H . 

On suppose que G est un groupe calculatoire, que son ordre n est connu, et que 
la factorisation de n en produit de facteurs premiers est connue elle aussi. Alors on 
dispose d'algorithmes polynomiaux en 5 = 4'i'^) pour calculer dans G — Z/(/)(n)Z. 
Résoudre le problème [3] revient à calculer c" pour c un générateur de G et a un 
entier entre 1 et n. 

Un algorithme naïf calculerait successivement c, c^, c^, c**, . . . , c"~^, c°, ce qui 
requiert a — 1 opérations. Ce n'est pas satisfaisant car on souhaite calculer c° en 
temps log 5'. 

L'algorithme utilisé est connu sous le nom d'exponentiation rapide. On calcule 

co = c, Cl — Cq = c^, C2 = c\ = c^, C3 ~ (c2)^ = c®, ■ ■ ■ , Cx = c^'° OÙ 2^ est la plus 
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grande puissance de 2 inférieure ou égale à a. On écrit alors l'exposant a en base 2 
soit a = X]i<fe<2: ^fe-^'^ vérifie que c" = ni<fc<a: ■ total le calcul de c° 

n'a pas requis plus de 2 log2 a opérations dans C. 

En revanche, si C est un groupe quelconque, alors on ne sait pas, en général, 
résoudre efficacement les problèmes H] et [SJ Par exemple, le problème |3] dans ce 
contexte est le suivant : étant donnés deux générateurs c et d de C, trouver un 
entier k tel que d — c''. Cet entier k G Z/nZ est appelé logarithme discret de d en 
base c et noté \og^{d). 

On observe que log^ s'étend en une application log^ : C — > Z/nZ qui est un 
isomorphisme de groupe. C'est l'application réciproque de l'exponentiation de base 
c notée expc : Z/nZ — > C et définie par exp^(fc) = c^. 

Le problème du logarithme discret a un sens pour tout groupe cyclique et c'est 
un cas particulier d'espace homogène. 

Nous avons là un premier exemple d'espace homogène difficile. Il n'existe pas, en 
effet, d'algorithme générique pour calculer les logarithmes discretfl22- 

Une petite difficulté subsiste : il n'existe pas de groupe générique. Rien n'interdit 
à un algorithme d'utiliser des propriétés particulières au groupe utilisé en pratique. 
On ne connaît pas d'algorithme pour résoudre le logarithme discret en temps poly- 
nomial en logn dans les groupes multiplicatifs de corps finis et on suppose qu'il n'en 
existe pas. Cela ne prouve pas cependant qu'il n'en existe pas. Il est généralement 
admis cependant que les espaces homogènes correspondants sont difficiles et même 
très difficiles. 

Ce premier exemple d'EHD est aussi un exemple (tout aussi hypothétique) 
de fonction asymétrique. Cela signifie que les deux fonctions exp^, et log^ sont 
réciproques l'une de l'autre, que exp^ se calcule en temps polynomial (grâce à 
l'algorithme d'exponentiation rapide) mais que log^ ne se calcule pas en temps 
polynomial. 

On trouve dans [141 une introduction à la cryptologie asymétrique. Le livre [7] 
est une introduction générale aux concepts de la cryptologie moderne. Le livre [2] 
est un traité général et récent de cryptologie. 

1.3. Echange de clé. — Nous présentons dans ce paragraphe un exemple de 
protocole cryptographique qui repose sur un EHD. Il s'agit de la transposition 
évidente du protocole de Diffie-Hellman-Merkle dans le contexte des EHD. 

On suppose qu'Alice et Bob communiquent par un canal non sécurisé (tout le 
monde peut entendre ou lire l'intégralité de leurs messages). Au début du protocole 
ils ne partagent aucun secret. À l'issue du protocole, ils ont un secret commun, c'est- 
à-dire une information connue d'eux seuls. Cette information pourra leur servir de 
clé secrète pour des échanges ultérieurs. 

Voici comment ils procèdent. Ils conviennent publiquement d'un EHD H . Dans 
tout ce qui suit, le mot aléatoire sous-entend que la distribution est uniforme (ou 
très proche de la distribution uniforme). 

1. Alice choisit un point aléatoire ho dans H et un vecteur aléatoire gi dans G. 
Elle applique gi à ho et calcule hi = gi-ho- Elle envoie le couple de points 
(ho, hi) à Bob. 



(^)Un algorithme générique est un algorithme qui n'utilise pas d'autres propriétés de C que l'exis- 
tence d'une loi de groupe. Shoup a montré qu'un tel algorithme ne peut pas calculer le logarithme 
discret en temps o{V~P) où P est le plus grand facteur premier de l'ordre n de C. 



QUELQUES MATHÉMATIQUES DE LA CRYPTOLOGIE À CLÉS PUBLIQUES 



5 



2. Bob choisit un vecteur aléatoire 52 dans G et l'applique à /iq- H calcule donc 
/i2 = 92-ho- Il envoie /12 à Alice. La clé secrète est K = g2-h\. 

3. Alice calcule la clé secrète à partir des informations dont elle dispose : elle 
applique gi à /i2- En effet K = g2-h\ = g\.h2- 

La commutativité de G joue ici un rôle essentiel. Alice et Bob conviennent d'une 
origine hç, publique. Ils choisissent chacun un vecteur et construisent ensemble un 
parallélogramme. Trois sommets h^, hi, /12 du parallélogramme sont publics mais 
le quatrième K est connu d'eux seuls. Alice connaît K car elle a choisi le coté gi et 
elle a reçu de Bob le sommet /12. Bob connaît K car il a choisi le coté 52 et il a reçu 
d'Alice le sommet hi . Un observateur étranger à cet échange voit les trois sommets 
/lo, hi et /i2 mais aucun des cotés du parallélogramme. Il doit donc compléter le 
parallélogramme pour violer le secret commun à Alice et Bob. Et on suppose que 
ce calcul est trop difficile (il n'existe pas d'algorithme polynomial en temps pour le 
résoudre). 



1.4. Preuve de connaissance sans apport d'information. — Nous 

présentons dans ce paragraphe le protocole de Schnorr dans le cadre des EHD. 

On suppose qu'Alice a choisi un EHD H et un point hç,, ainsi qu'un vecteur 
aléatoire g a- Elle applique le vecteur g a au point /iq et obtient le point Ha = gA-ho- 

Elle publie G, H, ho et hA et garde gA secret. Le secret d'Alice est donc le vecteur 
g A = hohA- 

Alice veut prouver à Bob qu'elle connaît ce vecteur, sans le divulguer. 

1. Alice choisit un vecteur gr & G aléatoire et calcule gr-hA = hr- Elle envoie hr 
à Bob. 

2. Bob tire à pile ou face et envoie le résultat e G {0, 1} à Alice. 

3. Si e = alors Alice envoie g^ = gr k Bob. Sinon elle envoie gp = grgA- 

4. Bob vérifie que gp.hA est égal à hr (si e = 0) ou gp.ho = hr (si e = 1). 

Le protocole construit un triangle Hq, Ha, hr- Pour prouver qu'elle connaît le 

coté h{)hA, Alice prouve qu'elle connaît les deux autres cotés du triangle. Selon la 

> > 

valeur de e, Bob lui demandera de dévoiler h^hr ou hAhr- Comme elle ne sait pas 
laquelle de ces deux questions lui sera posée, elle doit connaître la réponse au deux 
questions. 

> ^ ^ > > 

Si elle ne connaît pas hç,hA elle ne peut connaître à la fois h^hr et hAhr- Donc 

elle est prise en défaut par la question de Bob avec une probabilité > |. 

On répète le protocole un nombre suflasant de fois pour que Bob se convainque 

qu'Alice connaît bien hghA- 

De son coté. Bob n'apprend aucune information sur le secret d'Alice. Car tous 
les vecteurs qui lui sont communiqués ont une extrémité aléatoire. Un observateur 
extérieur au protocole n'apprend rien lui non plus. Alice n'a donc pas besoin de 
révéler quoi que ce soit de son secret pour prouver à Bob qu'elle le connaît. On 
mesure l'avantage de cette méthode sur le classique échange de mots de passe. 

Le protocole d'échange de clés a été publié par Diffie et Hellman en 1976. Le 
travail de Merkle sur cette question a joué un rôle important dans ce domaine. Il 
semble bien que ce protocole ait été découvert antérieurement par Williamson dans 
le cadre de son travail pour les services secrets britanniques (raison pour laquelle il 
ne l'a pas publié). 
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2. Logarithmes discrets et groupes algébriques 

On cherche des groupes finis, cychques, où le logarithme discret soit difficile. Le 
groupe additif d'un corps fini n'est pas un bon candidat. Supposons par exemple 
que C — {ïi/pï,, +) pour p premier et soient g et h deux résidus modulo p. On 
suppose que g engendre C . Donc g est non nul modulo p. Le logarithme discret de 
h en base g est l'entier k tel que h — kg. Donc k — ^ mod p se calcule à l'aide de 
l'algorithme d'Euclide en temps < (logp)^+°(^^ et même plus vite si l'on a recours 
à des algorithmes rapides. 

Le groupe le plus souvent utihsé est le groupe multiphcatif Gm(IFg) = F, d'un 
corps fini Fg. Les algorithmes connus les plus rapides pour calculer les logarithmes 
discrets dans de tels groupes ont une complexité de exp(log(g)3+°(i)). Ce ne sont 
donc pas des algorithmes polynomiaux. La contribution de Joux et Lercier à ce 
volume est entièrement consacrée à cette question. 

D'autres groupes algébriques sont utilisés depuis peu. Il s'agit principalement des 
courbes elliptiques. Mais on a aussi suggéré l'utilisation de jacobiennes de courbes 
de genre supérieur (surtout le genre deux). Les tores algébriques sont aussi l'objet 
d'études approfondies. Nous les présentons dans le paragraphe [2ITJ 

Les meilleurs algorithmes connus pour calculer le logarithme discret dans le 
groupe des points d'une courbe elliptique sur le corps à q éléments, sont des al- 
gorithmes génériques et ont donc une complexité en Çl{yfP) oh. P est le plus grand 
facteur premier de l'ordre de la courbe. On en déduit généralement que les cryp- 
tosystèmes à bases de courbes elliptiques peuvent atteindre un même niveau de 
sécurité que ceux basés sur les groupes multiplicatifs, avec une taille de clé (la taille 
de q) beaucoup plus petite (disons 200 bits au heu de 2000 bits). 

Il convient de souligner qu'il existe des instances faibles du logarithme discret, 
tant pour les corps finis que pour les courbes elliptiques. Plus précisément, il existe 
des familles infinies de groupes multiplicatifs et de courbes elliptiques pour lesquels 
on dispose d'algorithmes polynomiaux de calcul du logarithme discret. C'est évident 
pour les groupes C dont l'ordre n n'a pas de grand facteur premier. On donne des 
exemples moins triviaux au paragraphe 12. 21 

2.1. Un aperçu de l'utilisation des tores en cryptographie. — 

2.1.1. Rappels sur les groupes algébriques commutatifs. — Tout groupe algébrique 
affine connexe de dimension 1 sur un corps algébriquement clos est soit le groupe 
additif Ga, soit le groupe multiphcatif Gm- 

Il y a deux familles importantes de groupes algébriques. Une variété abélienne 
est un groupe algébrique complet et connexe. On peut montrer qu'un tel groupe 
algébrique est nécessairement commutatif. Un groupe linéaire est un sous-groupe 
algébrique de GL„ pour un entier positif n. 

Un théorème de Rosenlicht établit que tout homomorphisme de groupes 
algébriques d'une variété abélienne dans un groupe linéaire ou d'un groupe linéaire 
connexe dans une variété abélienne, est constant. 

Remarquons qu'un groupe algébrique fini est linéaire et que toute variété 
abélienne admet des sous-groupes finis (de torsion). Donc l'hypothèse de conncxité 
est nécessaire dans l'énoncé ci-dessus. 

Voici un théorème de structure dû à Chevalley 

Théorème 1. — Soit G un groupe algébrique connexe. Il existe un sous- groupe 
algébrique normal, connexe et linéaire L de G tel que le quotient A = G/L soit une 
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variété abélienne. Ce L est unique et il contient tous les sous-groupes algébriques 
linéaires connexes de G. 

Les homomorphismes de groupes algébriques surjcctifs à noyaux finis sont ap- 
pelés isogénies. Pour les groupes algébriques commutatifs sur un corps fini on a un 
théorème de structure plus fort. Si G est un groupe algébrique connexe commutatif 
sur un corps fini Fg et si 1 — > L — > G — > ^ — > 1 est la suite exacte stricte donnée 
par le théorème de Chevalley, alors il existe une isogénie, définie sur Fg, de G vers 
le produit direct L x A. 

A ma connaissance, tous les groupes algébriques utilisés à ce jour en cryptogra- 
phie sont, de façon plus ou moins visible, des variétés jacobiennes généralisées. 

Un tore sur le corps K est un groupe algébrique connexe commutatif T de di- 
mension d, qui devient isomorphe à (Gm)'' après extension des scalaires de K k une 
extension séparable L. Un tel corps L est appelé corps de décomposition du tore T. 
Donc un tore de dimension d est un tordu du groupe algébrique (Gm)'' et ces tores 
sont classifiés par H^{K,AvitK'>{{Gni)'^))- 

Observons que nous voulons tordre (Gm)'' en tant que groupe algébrique et non 
seulement en tant que variété. Donc le groupe d'automorphismes Autifs ((Gm)'^) qui 
nous préoccupe est le groupe des automorphismes de groupe algébrique et non pas 
le groupe complet des automorphismes de la variété (Gm)''. 

Un automorphisme a du groupe algébriques (Gm)'^ est décrit par 

a{gi,g2,-;gd) = a{{gi)i<i<d) = i Y[ .9"''')i<i<d- 

i<]<d 

Ici les aij sont des entiers tels que la matrice A — {onj) ait un déterminant égal 
à ±1. 

Ainsi le groupe Aut^» ((Gm)'') est isomorphe à GL(j(Z) et l'action de Ga- 
lois sur ce groupe est triviale. Donc Z^{K, AutK'UGm)'^)) n'est autre que 
Hom{GalK,AutKiiGm)^)) et H'^{K,AutK'>iiGm)'^)) est le quotient de ce der- 
nier ensemble par AutA:((Gm)'*) agissant par conjugaison. 

On suppose désormais que le corps de base K est fini de caractéristique p. Le 
groupe de Galois absolu Gali^ est procyclique et un élément de {K, Autif » ((Gm)"^)) 
est donné par la classe de conjugaison de l'image de l'automorphisme de Frobenius 
F. 

Pour L D K une extension de degré d de corps finis, on identifie (Gm)'' au produit 
nGai(L/K)Gni de d facteurs Gm indicés par les ii'- automorphismes de L. 

On note f<j l'automorphisme de nGai(L/j<')Gm qui permute les composantes 
comme F agit sur les indices dans Ga\{L/K) : 

fd{gi,gF,gF^, ■■■,gFd-^) = {gp-i-^, gi, gp, gr^, gp-i-^)- 
On note Qd le tordu de ÏIgilI{l/ K)Gin associé au cocycle F i— > f^. C'est la restric- 
tion de Weil de Gm le long de L/K. C'est un tore de dimension d, défini sur K, 
et qui se décompose sur L. Une de ses propriétés intéressantes est que Gd{K) est 
isomorphe, en tant que groupe, à Gm{L) = L*. Notons que le groupe algébrique Gd 
dépend du corps de base K et du degré d. 
En eflfet, il existe un i-isomorphisme 

I ■■ {Gm^ = n Gm ^ 
Giil{L/K) 
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tel que ^ I = I o f^. 

Pour tout diviseur a àc d posons d — ab. Soit M l'extension de degré a de K. 

ah 

Alors K <Z M <Z L.he groupe de Galois Ga\{L/K) est engendré par le Frobenius F 
et le groupe de Galois Gal(L/M) est engendré par 

La restriction de L à M définit un épimorphisme de groupes G3l{L/K) 
Ga\{M/K). On en déduit l'existence d'un homomorphisme de groupes algébriques 
'^a,d de Çd dans Ga- 

En effet, on a un morphisme 

Ged{L/K) Gal{M/K) 

défini par 

■N^a,d{9l,9F,9F'^ ) 5F<i-i ) = (â'lfl'F<»fl'F2a"-fl'ir(î>-i)<' ) 9 F 9 F''+^ 9 F'^'^+^ ...9F(b-i)a+i , 

gp2gpa+2gp2a+2...gp(l,-l)a+2, ... , gpa-1 gpa+a-1 gp2a+a-l . ..g p(b-l)a+a-l) 

et tel que Afa,d °U = U° 

On note 7^ l'intersection des noyaux des morphismes i'a,d pour tous les diviseurs 
stricts a de d. C'est un tore de dimension (j){d) tel que Td{K) C Gd{K) = Gra{L) = 
L* est le sous groupe des points qui ont norme égale à 1 dans toute sous-extension 
de L/K. Ce sous groupe a pour cardinalité ^dio) où ^d{X) est le rf-ième polynôme 
cyclotomique et q la cardinalité de K. 

2.1.2. Le tore de Lucas. — Soit encore K un corps fini de caractéristique impaire 
p. Soit D G K* un scalaire qui n'est pas un carré dans K. Soit L = K{^/D). Soit 
à? /K\e plan afSne et U l'ouvert défini par l'inégalité — Dy^ ^ 0. On construit un 
L-isomorphisme de L dans (Gm)^ en envoyant {x,y) sur {x + y\/D,x — y\/D). 
L'isomorphisme inverse est I : {GmY ~^ ^ ®k L défini par I{zi,Z2) = {x,y) = 

( Z1+Z2 Z1-Z2 'l 

2 ' 2VD 

On vérifie que I^^" I est l'identité si a fixe ^fD et l'application d'inversion sinon. 
Cela prouve que U est /T-isomorphe à G2- 

Le sous groupe T2 d G2 est défini par la condition supplémentaire que 2:1 2:2 = 1 
ou de façon équivalente x^ — Dy^ = 1. 

Donc T2 est le fermé de défini par l'équation x^ — Dy"^ = 1. Le tore T2 est 
appelé tore de Lucas. 

La loi de groupe sur G2 et T2 est donnée par les applications de multiplication et 
d'inversion : 



((a;i,yi), (3:2,^2)) I ^ {xiX2 + Dyiy2,yiX2 + xiy2) 



et 



i : 



{x,y) I ^ {x,-y) 
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Le groupe T2 (K) des points ii'-rationnels du tore de Lucas est parfois préféré au 
groupe GmiK) parce que le logarithme discret y est supposé un peu plus difficile. 
Notons que les points de Gni(^^) sont représentés par une seule coordonnée affine 
alors que les points de ^(i^) sont représentés ici par leurs deux coordonnées x et y. 
On a donc une représentation deux fois plus longue pour T2{K) alors que les deux 
groupes sont de tailles comparables. C'est un inconvénient sérieux. 

Une première parade, qui est assez générique, consiste à noter que l'exponen- 
tiation par un entier k dans le groupe algébrique 72 est donnée par [fc] : 72 ^ 72 
avec 



[k]{x,y)^iJ2{x'~iyx'-'^(^\,y y: 2/ + 1 

0<2l<k ^ ^ 0<2i+l<fc ^ ^ 

En particulier, la coordonnée x de [k]P ne dépend que de la coordonnée x de P. 
Ceci simplement par ce que [k] commute à l'inversion i. 

Il est donc naturel de considérer la variété quotient A2 — 72/{l, i}. Celle-ci n'est 
autre que la droite affine avec x pour coordonnée. 

Ce quotient n'est plus un groupe algébrique mais il conserve une action du mo- 
noide multiplicatif des entiers positifs (Z>o, x), donnée par les applications [k] d'ex- 
ponentiation. 

Cela suffit pour faire de la cryptographie à base de logarithme discret pourvu 
que l'on se contente de l'exponentiation et que l'on renonce à la multiplication. 

Cette variété X2 présente l'avantage d'être rationnelle : les points sont décrits 
par une seule coordonnée. On peut ainsi représenter des problèmes de logarithme 
discret dans le sous-groupe de cardinal g-l- 1 de L* avec seulement log2(g) bits (ceux 
qui suffisent à décrire la coordonnée x). 

C'est l'idée à l'origine du système LUC de |21j . 

Il est de la première importance pour cette méthode que la variété X2 soit ra- 
tionnelle. 

Notons que le même procédé est utilisé pour les courbes elliptiques car le quotient 
d'une courbe elliptique par son involution est rationnel lui aussi. 

Mais il y a mieux. Rubin et Silverberg rappellent dans I12j que le tore 72 
lui-même est rationnel comme ii'-variété. 

En effet, l'équation x^ — Dy^ = 1 est rendue homogène en posant x'^ — Dy^ = 
qui est aussi x^ — P — Dy^ ou encore {x — t)(x + t) = Dy^. On pose u — et 

il vient une paramétrisation ^ = et ^ = " donc une paramétrisation de 

— Dy'^ = par 



X = + D 
t = -u^ -I- D 
y ^ 2u 

ce qui en coordonnées affines donne x = ^^"2 et y = j^z^- 

Ce qui se produit ici est que Gm est une sous variété de P^. Bien qu'il 
existe un tordu non-trivial du groupe G„i, le 1-cocycle associé s'annule dans 
Aut^f=(pi)). 

Une conséquence intéressante est qu'un élément de 7^ peut être représenté par 
une seule coordonnée u et que la loi de groupe peut s'exprimer en terme de cette 
unique coordonnée. 
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En effet, soit Pi de w-coordonnée ui et P2 de «-coordonnée U2, un calcul sans 
mystère donne la w-coordonnée de P3 que l'on note U3 : 

D(ui + U2) 

L'élément identité de Ç2 a une u-coordonnée égale à et l'application d'inversion 
change u en —u. 

Le point de coordonnées x = — lety^O correspond à u = 00. 

Si u parcourt K U {00} il représente les g + 1 points de T2{K). 

Silverberg (qui s'appelle Alice) et Rubin (qui ne s'appelle pas Bob) montrent 
que le cryptosystème XTR [8] utilise une variété de type X tout comme LUC. La 
question qui se pose alors est de déterminer dans quels cas cette variété quotient 
d'un tore est rationnelle. Et si elle l'est, de donner une paramétrisation explicite. 
La même question se pose pour les tores Td eux mêmes et elle est assez ouverte. Le 
tore Td et son quotient Xd sont de dimension 4){d). Pour (i = 2x3x5ona (f){d) = 8 
et on cherche des paramétrisations ... 

Le tore de Lucas est utilisé (au moins implicitement) depuis longtemps. Il est le 
ressort de la méthode appelée 1" pour factoriser des entiers naturels en produit 
de facteurs premiers. 

D'une manière générale, factoriser un nombre entier N revient à calculer le 
nombre de points Z/NZ rationnels d'un groupe algébrique G bien choisi. C'est 
évident si on choisit G = G,„ mais il peut être plus habile de choisir G = 72 le tore 
de Lucas ou encore G = A une variété abélienne. 

Dans le même ordre d'idée, on prouve qu'un nombre P est premier en prouvant 
que G(Z/PZ) a le cardinal attendu 011 G est un groupe algébrique bien choisi. Si 
G = Gm on attend P — 1, si G = 72 on attend P + 1, et si G est une variété 
abélienne à multiplication complexe, on sait aussi à quoi s'attendre, grâce à la 
théorie de Shimura. 

La variété (pas si grande) des groupes algébriques commutatifs a donc été ex- 
plorée largement par de nombreux auteurs intéressés à l'une ou l'autre de ces ques- 
tions : factorisation, primalité, logarithme discret protocoles cryptographiques. 

On trouve dans [5] un état de ces méthodes et dans |19) une introduction aux 
groupes algébriques. 

2.2. Des exemples d'instances faibles du logarithme discret. — Le 

problème du logarithme discret n'est pas toujours difficile. On a vu qu'il est facile 
dans le groupe additif d'un corps fini. Il est facile aussi dans un groupe C = Ci 
produit direct de petits groupes. Dans ce cas, il se décompose en autant de 
problèmes de logarithmes discrets dans les facteurs Ci. On évite donc les groupes 
Gm(lFç) si g — 1 est friable (produit de petits facteurs premiers). 

Dans ce paragraphe nous montrons un autre exemple d'instance faible du loga- 
rithme discret. La cause, ici, est analytique : on réduit le logarithme discret à un 
logarithme p-adique. 

L'alinéa 12.2.21 présente la méthode de Riesel pour calculer le logarithme discret 
dans le groupe multiplicatif Gm(Z/p'"'Z). L'alinéa 12.2.51 expose l'extension de cette 
méthode au cas des courbes elliptiques de trace 1, d'après les travaux de Smart, 
Araki, Satoh, Semaev. 

2.2.1. Rappels sur les logarithmes p-adiques. — Un élément de l'anneau Zp des 
entiers p-adiques est noté 
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Z = ZO + ZIP + Z2P^ + ... + 2fe-l/ ^ + 0{p'') 

OÙ les Zi sont des entiers tels q\ie < < p et fc est la précision absolue requise. 

On note Vp la valuation p-adique sur Qp. On sait que Q* =< p > xZ*. On note 
U = Z* et pour tout entier n > 1 soit 1LJ„ = 1 +p"Zp. La réduction modulo p donne 
une suite exacte 



(1) 1 ^ Ui ^ z;^f; ^ 1. 

Le lemme de Hensel montre que U contient le groupe V des racines {p — l)-ièmes 
de l'unité. Donc la suite exacte ci-dessus se décompose et on a U = V x Ui. 

Reste à décrire Ui . Si p > 3 on construit un homomorphisme de groupes topolo- 
giques entre (Ui, x) et {p'Lp,+). 

Si p = 2 alors Ui =< — 1 > XU2 et on construit un homomorphisme de groupes 
topologiques entre (U2, x) et (4Zp,-t-). 

Dans les deux cas, l'isomorphisme est donné par la série logarithme 

Log(z) = -5^^^(z-ir. 

n— 1 

L'application inverse est l'exponentielle 



exp(0) = ^— . 



La série Log(2;) converge sur Ui (U2 si p = 2) et la série exp(2;) converge sur pip 
(4Z2 si p = 2). Donc la structure de Q* est 

Z X Z/(p - 1)Z X Zp 

pour p impair et 

Z X Z/2Z X Z2 

pour p — 2. 

2.2.2. Calcul de logarithmes discrets dans {'L/p'^'L)*. — Nous supposons dans la 
suite que p est un entier premier impair. 

Soit /c > 2 un entier et hk un générateur de (Z/p'^Z)*. Soit un autre élément 
de (Z/p'^Z)*. On veut calculer le logarithme discret Ik = logb^, Cfc- On voit (Z/p'^Z)* 
comme le quotient de Z* par Ufe et on fixe un relèvement b de hk dans Z* et un 
relèvement c de Cfc dans Z*. 

Soient Cl et &i les images de c et & dans (Z/pZ)* = Z*/Ui et supposons que le 
logarithme t\ = log;,^ c\ G Ij/{p— 1)Z est connu. On identifie la classe de congruence 
i\ modulo p — 1 à son représentant dans l'intervalle [0,p — 1[. 

Cet entier peut être calculé par recherche exhaustive au prix de 0{p) opérations 
dans Xjpï. 

On pose C = ch~^^ et on vérifie que C € Ui. Soit S = 6^-1 € Ui - U2. 
On calcule à l'aide du développement en série convergente 
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donc C = (mod p^) ei c — h^^b^^ (mod p'') ce qui nous donne le logarithme 
discret cherché 

logb^ Ck^h + {p- 1)L (mod p'^-^p - 1)). 

Ainsi, le calcul du logarithme discret dans Z/p'^Z se réduit au calcul d'un lo- 
garithme discret dans Z/pZ. Pour p fixé et k tendant vers l'infini, on obtient un 
exemple de grand groupe multiplicatif oîi le logarithme discret se calcule en temps 
polynomial en le logarithme de la taille 5* = (p — l)p''^^ du groupe. 

2.2.3. Un exemple. — Soit p = 3 et fc = 10. On choisit 

b ^ 59045 = 2 + 3 + 2.3^ + 2.3^ + 2.3'* + 2.3^ + 2.3^ + 2.3^" + 2.3* + 2.3^ + 0(3^°) 

un générateur de Z/3*°Z. 

Posons B = 6^ ^ 1 + 2.3 + 32 + 0(31°). C'est un générateur de Ui. 
Soit 

c = 24731 = 2 + 2.3 + 2.3^ + 2.3" + 2.3^ + 2.3^ + 3^ + 0(3^°). 

On veut calculer log;,^^^ ciq. 

Puisque c = b (mod 3) on a = 1 et on pose 

C = c/5 = 1 + 2.3 + 3^ + 2.3** + 3^ + 2.3^ + 2.3® + 3^ + 0(3^°). 
On calcule L = Log(C)/ Log(i3) grâce au développement en série du logarithme 

L = 1 + 3 + 2.32 + 2.3'"^ + 3^ + 3^ + 0(3^) 
Donc L = 2506 (mod 3^) et ^10 = 1 + 2 x 2506 = 5013. 

Dans l'article original [lOj de Riesel, le logarithme p-adique est remplacé par le 
quotient de Fermât. 

2.2.4. Courbes elliptiques sur un corps local. — On suppose encore que p est pre- 
mier impair. Soit £ une courbe elliptique d'équation affine 

E : y'^ + aixy + a^y = + a2X^ + a/^x + ag 
avec ai, 02, 03, a4, ag dans Zp. 

On suppose que E a bonne réduction : le discriminant A est une unité. On note 
E la réduction de E modulo p. 

La réduction modulo p définit un épimorphisme de groupes p : E{Qp) E{¥p) 
de E{Qp) vers E(Fp). Le noyau de p est formé des points proches p-adiquement de 
l'origine. On note z = —x/y le paramètre local en l'origine et pour tout k positif 
on note Ek{Qp) l'ensemble des points P E E{Qp) tels que Wp(zp) > k. On a la suite 
exacte 

(2) ^ EiiQp) ^ E{Qp) ^ è{¥p) ^ 0. 

qui est très proche de la suite [T] 

On étudie donc la structure de groupe de Ei{Qp). La loi de groupe sur Ei{Qp) est 
exprimée en terme du paramètre z. En effet z(P + Q) est une série formelle en z(P) 
et z{Q). Cette série formelle n'est autre que le groupe formel associé à E, c'est-à- 
dire le développement de Taylor à l'origine de la loi d'addition. Les coefhcients de 
ce développement sont des polynômes en les coefficients de l'équation de E : 
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z{P + Q) = z{P) + z{Q) - aiz{P)z{Q) - a2{z{Pfz{Q) + z{Qfz{P)) + ■■■ 

Le paramètre local z induit une bijection de 5i(Qp) sur pLp. La série F{zi,Z2) 
converge sur pZp x pZp et pour tout P et Q dans on a z{P + Q) = 

F{z{P),z{Q)). On pose z\®j^Z2 = F{z\,Z2) pour z\ et 2:2 dans pZp. Cela fait 
de z un homomorphisme de groupes topologiques de {£\, +) vers (pZp, ®^). 

Il existe un logarithme formel associé au groupe formel F et noté Log^(2;). Il 
est caractérisé par l'identité 

Log:F(F(^;i, 2:2)) = l^ogj,{zi) + Log_;r(2;2). 
La série réciproque de 'Logj7{z) est notée exp^(2;). 

Un simple calcul montre que Logjp(z) = Yl'^=i if^" '^^ cxpjr(z) = X^^i fn"^" 
oii les bn et c„ sont dans Zp, et 5i = ci = 1. On en déduit que Log_;p(z) converge 
pour Vp{z) > et expjp-(z) pour Vp{z) > l/(p — 1). 

En considérant l'isomorphisme composé 

fi(Qp) ^ (pZp,©^) "^^^ (pZp,+) 

on prouve que fi(Qp) est sans torsion et que la réduction modulo p est injective 
sur le sous-groupe de torsion de f(Qp). On note ô = #£(Fp). Si ô est premier à p 
alors è(Fp) se relève en un groupe de torsion dans 5(Qp) et la réduction modulo p 
induit une bijection entre les torsions de f (Qp) et £{¥p). Donc 

f (Qp) ~ Si{Qp) X £{¥p) ~ Zp X è(Fp). 

Supposons maintenant que ô = ^(Fp) = p. C'est un cas très particulier car la 
trace de l'endomorphisme de Probenius de £ vaut 1. Alors £{Q.p) est coincé dans la 
suite exacte 

^ Zp ^ f(Qp) ^ Z/pZ ^ 0. 

Donc il est isomorphe à Zp (cas I) ou a Zp x Z/pZ (cas II). 

Supposons que l'on se trouve dans le cas I. Donc é^(Qp) est sans torsion et il 
existe une bijection entre ^(Fp) et £i/£2- Soit en effet P un point dans è(Fp) et soit 
P e f (Qp) un relèvement P. Le point \p]P est dans fi(Qp) car \p]P = \p]P = 0. 
En outre, si nous choisissons un autre relèvement P' de P, alors [p]-P — \p]P' = 
\p]{P — P') e £2- On a donc une application 

U:£{¥p)^£i/£2. 

Elle est injective. En effet, soit P G £{Qp) tel que [p]P G £2- La multiplication 

par p définit une bijection entre f 1 et £2- H y a un iî € £1 tel que [p]R = p\P]. Donc 
[p]{R — P) — et puisque on est dans le cas I on a P = iî ë fi et P = 0. 

2.2.5. La méthode de Sm,art-Araki-Satoh-Semaev. — Pour calculer le logarithme 
discret dans une courbe elliptique de trace 1, ils utilisent la bijection H de l'alinéa 
précédent et transforment un problème de logarithme discret dans ^(Fp) en un 
problème de logarithme dans fi(Qp). Ce dernier logarithme est un logarithme el- 
liptique et se calcule efficacement c!n raison de ses propriétés analytiques. 

Il reste à s'assurer que l'on se trouve dans le cas I de l'alinéa précédent. En fait 
Voloch a noté que le cas II corresponds au cas où £ est le relèvement canonique de 
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£ module p^. Comme ce relèvement canonique est unique, il n'est pas très difficile 
à éviter. . . 

D'un point de vue pratique, le développement du logarithme elliptique est obtenu 
en intégrant la forme différentielle canonique w. 
On développe x, y et uj en z = —x/y et on calcule 



X = z — a\z ^ — a2.... 

y = ~x/z 

w = „ o , o ; = {l+aiz + {al+a2)z'^ + ...)dz 

Logjp = juj = z+—z + — - — + ... 

Finissons par un exemple. Soit p = 655387895585476301924777 et £ la courbe 
d'équation 



E:y'^ + xy = x^ + 114287067913850793676921a; + 349073807889941681395769 
sur Fp. 

Soit P = (170219448, 14643735815400225272219) un point dans £{¥p). On vérifie 
que \p]P = 0. 

Soit Q = (71434243993450257115004,316317604915944437378529) un autre 

point de £{¥p)- 

On choisit un relevé £ de £ sur Qp. Par exemple on choisit £ d'équation 
E-.y"^ + xy = x^ + 114287067913850793676921a; + 349073807889941681395769 



sur 



On cherche un P = [xp, yp) dans f(Qp) au dessus de P. On fixe xp = 170219448 
par exemple et on résout dans Qp l'équation en y 

y2 + xpy ^x% + 114287067913850793676921a;p + 349073807889941681395769. 

On choisit la racine congrue à 
14643735815400225272219 modulo p. 
Donc 

yp = 14643735815400225272219+ 241062303587335366096866.P+ 0(î32). 
Alors 

n(p) = [p]p 

= (246304660834813598643589.p-^+O(p-^),213491610344127745612815.p-^+O(p"^)). 



Et 



2x 246304660834813598643589 

Log-p-( p P) = zp + 0(zl) = p + 0(p^). 

B.FVU^J J J^-r \ pj 213491610344127745612815^ ^ 



De même 
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Log^([]3]Q) ^ I69836480309236709243708.p+O(p^). 
Le quotient est logp(g) = 123456789 (mod p). 

On voit que les courbes elliptiques qui ont p points rationnels sur ¥p sont des 
instances faibles pour le logarithme discret. Cette observation a été faite par Araki 
et Satoh [I], Smart [20] . Semaev |18| indépendemment. Ruck [13] et Voloch ont 
unifié et généralisé ces travaux dans le langage naturel de la cohomologie galoisienne. 

3. Isogénies et cryptographie 

Dans cette section, je décris un EHD qui n'est pas un problème de logarithme 
discret. Lorsque j'ai présenté cet exemple en 1997 au séminaire de cryptographie 
de l'ENS, il s'agissait d'une curiosité (voir [6;). Mais les progrès réalisés dans le 
calcul explicite des isogénies et les travaux menés par Charles, Lauter, Jao et Ven- 
katesan depuis lors, montrent qu'il n'est pas irréaliste de fonder la sécurité d'un 
cryptosystème sur la difficulté de trouver un morphisme entre deux objets. 

Le paragraphe 13.11 décrit l'action du groupe des classes d'un ordre quadratique 
sur les courbes elliptiques à multiplication complexe par cet ordre, d'un point de 
vue algorithmique. Cette situation produit un candidat EHD. 

Le paragraphe 13.21 rappelle quelques propriétés des graphes d'isogénies entre 
courbes elliptiques et donne une idée de leur intérêt cryptographique. 

3.1. L'espace homogène des courbes ordinaires à multiplication par un 
ordre quadratique. — Soit ¥q un corps de cardinal q= p'^ el E une courbe ellip- 
tique sur Fq, supposée ordinaire. L'anneau des endomorphismes de E est isomorphe 
à un ordre quadratique O. On fixe un tel isomorphisme l : End(_E) O. On note 
t la trace de l'endomorphisme de Frobenius $. Donc ^E(¥q) = q + 1 — t. 

On pose A = — 4(7 et on suppose que A est sans facteur carré. Donc O — Z[$] 
est maximal. 

Si a est un idéal de O premier à p, on note Ker a d E l'intersection des noyaux 
des isogénies de E appartenant à i^^(a). 

Soit F le quotient de E par Ker a et 1^ : E ^ F l'isogénie quotient. Soit k : 
End(F) — > O l'isomorphisme défini par k(q;) — L{I^^aIa)- 

On note [a] la classe de a dans Pic(C') et on pose [a].(i?, t) = {F,k). On définit 
ainsi une action du groupe des classes G = Pic(C') de O sur l'ensemble des classes 
d'isomorphismes de couples {E, l) formés d'une courbe elliptique sur et d'un 
isomorphisme de End(_B) vers O. 

Cette action admet deux orbites, permutées par la conjugaison complexe. Soit H 
l'une des deux orbites. L'action de G sur H est simplement transitive. Le cardinal 
S^#G = #H est le nombre de classes de O. On a 5 = A5+°(i). 

Il est facile de vérifier qu'une courbe elliptique i5 a un anneau d'endomorphismes 
isomorphe à O. 11 suffit de vérifier que = p + 1 — t à l'aide de la méthode de 
Schoof [16] ou plus vite encore si on dispose d'une factorisation de p + 1 — t et si ce 
dernier entier est sans facteur carré. 

Si H ^ p est un entier premier impair décomposé dans O, le polynôme f{X) — 
tX + q a deux racines distinctes A et /i modulo ^ et on a £ = [ï avec l = , $ — A) 
etï= 

Le noyau Ker [ est un sous-groupe de E[£]. 11 correspond à un facteur de degré 
du polynôme de ^-division. Ce facteur se calcule en temps polynômial en logq 



16 



JEAN-MARC COUVEIGNES 



et l par divers moyens (soit brutalement, soit en suivant les idées de Schoof, Atkin, 
Elkies et quelques autres [17j ). 

Le quotient de E par Ker I se calcule en temps polynômial en £ et log q à l'aide 
des formules de Vélu ou, plus efficacement encore, en utilisant des méthodes plus 
récentes proposées par Elkies, Schoof, Lercier, moi-même, Morain, Salvy, Schost, 
etc. On peut consulter [3] qui est un texte récent sur le sujet. Notons que le calcul 
d'isogénies se décompose en deux étapes : trouver d'abord le noyau, puis quotien- 
ter la courbe, ou bien au contraire, trouver d'abord la courbe quotient (à l'aide 
d'équations modulaires) puis en déduire le noyau. 

Un nombre premier sur deux se décompose dans O. Si cette proportion est res- 
pectée pour les petits nombres premiers, en admettant l'hypothèse de Riemann 
généralisée, on dispose d'un ensemble d'éléments de G dont l'action sur H se cal- 
cule en temps polynômial en logç et qui engendrent G. 

Une combinaison de ces éléments à coefhcients entiers aléatoires et assez grands 
produit un élément aléatoire de G avec distribution assez proche de la distribution 
uniforme (sur la composante connexe du point de départ). 

Il est raisonnable de penser qu'il n'existe pas d'algorithme rapide pour calculer 
l'unique classe de Pic(C') qui envoie une courbe E sur une courbe F . On a donc un 
candidat EHD sérieux qui ne provient pas du logarithme discret. 

On ne connaît pas d'algorithme pour calculer S le nombre de classes de O en 
temps polynômial en log A. Mais connaître le cardinal exact d'un EHD n'est pas 
indispensable aux protocoles que nous avons présentés. 

Pour construire un EHD tel que décrit dans le paragraphe précédent, on choisit 
d'abord un corps fini ¥q. On choisit une courbe elliptique au hasard et on calcule la 
trace t de l'endomorphisme de Frobenius avec la méthode de Schoof. On vérifie que 
A = — 4(7 est sans facteur carré et se factorise aisément (sinon on recommence) . 

On collectionne alors les petits nombres premiers t qui se décomposent dans Z[$]. 

3.2. Graphes d'isogénies. — Dans la situation du paragraphe précédent, on 
fixe un réel positif 5 et on pose B = (logg)^+''. Soit Q le graphe dont les sommets 
sont les éléments de H et dont les cotés sont les paires {(i?, i), (F, k)} d'éléments 
de H telles qu'il existe un idéal premier a de C, de degré d'inertie 1, de norme 
< B ei tel que [a\-E = F. C'est un graphe de Cayley. Il est fc-réguher oh k est le 
nombre d'idéaux premier de degré d'inertie 1 et de norme < B dans O. On note 
M = [me j]e,/giî sa matrice d'adjacence. Donc mej = 1 si {e, /} est un coté du 
graphe, et We,/ = sinon. 

Le matrice est une matrice de Markov, correspondant à une marche aléatoire 
dans le graphe : si l'on se trouve au sommet e du graphe, on choisit un des k cotés 
issus de e avec probabilité uniforme et on avance le long de ce sommet. 

La distribution uniforme de probabilités sur l'ensemble H des sommets est un 
vecteur propre de M et sa valeur propre est k. 

Toutes les valeurs propres de M sont réelles et de valeur absolue < k. On peut 
consulter le petit livre [15] de Sarnak sur les graphes et les formes modulaires pour 
toutes ces questions. 

Les valeurs propres non-triviales (celles dont la valeur absolue est < k) ralen- 
tissent la convergence du processus de Markov vers la distribution uniforme. Si elles 
sont petites, alors cette convergence est rapide. 

Jao, Miller et Venkatesan montrent que pour le graphe ci-dessus, sous reserve 
que l'hypothèse de Riemann généralisée soit correcte, le graphe est connexe et les 
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valeurs propres non-triviales ont une valeur absolue 0{k^) pour tout /? > ^ + ■gj:2- 
Comme ô est positif, ces valeurs propres sont nettement séparées de la valeur propre 
associée à la distribution uniforme. Donc le processus markovien converge vite. 

On dit que la famille des graphes ainsi construits est une famille de graphes 
d'expansion. 

Classiquement, on construit plutôt des graphes d'isogénies à l'aide de courbes 
supersingulières, comme dans 9j. En effet, les matrices d'adjacences, appelées ma- 
trices de Brandt, expriment l'action d'opérateurs de Hecke sur des espaces de formes 
modulaires. Leurs valeurs propres sont majorées à l'aide de la conjecture de Rama- 
nujan. Ces graphes réguliers, appelés graphes de Pizer, sont encore meilleurs que les 
précédents, car leurs valeurs propres non-triviales sont en valeur absolue < 2\/k — 1. 
On dit que ce sont des graphes de Ramanujan. 

Outre leurs remarquables propriétés spectrales, les graphes d'isogénies présentent 
un grand intérêt calculatoire. Ce sont de grands graphes dans lesquels on peut 
circuler facilement (cela revient à calculer des isogénies de petit degré). Mais il est 
difficile de trouver un chemin entre dexrx sommets donnés, comme nous l'avons vus 
dans le paragraphe 13. Il Charles, Goren et Lauter proposent dans [41 d'utiliser cette 
propriété pour construire des fonctions de hachage cryptographique. Le principe est 
le suivant : on appelle C l'ensemble des entiers premiers < B qui se décomposent 
dans O et on forme un ensemble B en choisissant pour tout £ dans C un idéal au 
dessus de £. On choisit une origine parmi les sommets du graphe et on fixe une 
bijection entre les lettres de l'alphabet et les idéaux dans B, de sorte qu'à tout mot 
de longueur quelconque on peut associer un chemin dans le graphe. Le sommet oii 
l'on aboutit à l'issue de ce cheminement est la valeur de la fonction de hachage. 
Trouver deux mots qui se hachent sur le même sommet revient à trouver un cycle 
non-trivial dans le graphe. 
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